セキュリティベンダーはなぜいつも同じような話ばかりするのか?:Cybersecurity Dive
セキュリティ研究者は、組織がセキュリティ対策に向けて行動するためにはもう一度スノーデン事件のような出来事が必要なのではないかと疑問を呈した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
企業は毎年デジタルリスクに直面しており、無防備な企業は被害を受けるか、把握していないところで脅威にさらされていたりする。だが多くの企業は依然としてサイバーセキュリティに真剣に取り組むために必要な基本的な対策すら実行していない。
サイバー攻撃における最初の侵入経路としてはフィッシングやパッチ未適用の脆弱(ぜいじゃく)性、リスク対策をしていない業務プロセスなどがあり、これらを悪用した攻撃は度々話題になっている。
変革のためにはスノーデン事件が再び起こる必要があるのか?
業界を行動に駆り立てるためには大規模な出来事が必要かもしれない。
セキュリティ企業Sophosで応用研究のフィールドCTO(最高技術責任者)を務めるチェスター・ヴィシニェフスキ氏は、「Cybersecurity Dive」に「もしかしたら私たちにはもう一度『スノーデン事件』のような出来事が必要かもしれない」と語る。
2013年に元情報コンサルタントで告発者でもあるエドワード・スノーデン氏が、国家安全保障局(以下、NSA)から高度な機密情報をリークした事件は、テクノロジー業界に啓示的な瞬間を作り出した。
「そのとき、私たちは『そうか、インターネット(の通信)を暗号化しなければならないのだ』と気づいた。10年かかったが今ではインターネット全体が暗号化されている」(ヴィシニェフスキ氏)
ヴィシニェフスキ氏を含む多くのサイバーセキュリティの専門家は20年前からインターネットを完全に暗号化するよう業界に説いていた。スノーデン氏による暴露の後、その警告はついに実ったのである。
脅威インテリジェンスのコミュニティーからの持続的な刺激が影響を与えている。より多くの組織がセキュリティについてより真剣に取り組むようになっている。
「2023年の今、暗号化されていないWebサイトを見つけることは難しい。そうなったのは、スノーデン氏の一件によって誰もが暗号化するようになったためだ」とヴィシニェフスキ氏は言う。
結局のところ、反復が行動を促す
恐怖は強力な動機付けになるが、サプライチェーン攻撃や悪用された脆弱性、ランサムウェアに関する研究者やアナリストからの脅威情報の発信の繰り返しが、より多くの組織を行動に駆り立てるために必要なことなのかもしれない。
Sophosの商業分野におけるフィールドCTOであるジョン・シアー氏は「世の中にはギャンブラーが多くいる」と話す。
サイバーセキュリティの専門家にとって繰り返しは重要な役割を果たす。なぜなら、彼らのメッセージを最も聞くべきビジネスリーダーに対して、予防可能な危険性を強く印象付けられるためだ。
IBM X-Forceの研究責任者であるジョン・ドワイヤー氏は、15年のキャリアの中でベストプラクティスが無視される様子を目の当たりにしてきた。
ドワイヤー氏はCybersecurity Diveに対して「特権や接続、アクセスの過剰な拡張は長くまん延している。私がキャリアをスタートさせたときから、人々はローカルの管理者権限を取り上げるべきだと言っていた。それは今日でもよくある問題だ」と語る。
同氏は加えて「外部から見ると、実際には誰もこれらのことを真剣に受け止めていないように見えるかもしれない。人々は常に同じことを話しており、同じようなベンダーが同じことを言っている。変化したのは脅威の状況であり、地球上のほぼ全ての組織が実際に標的とされるようになったことだ」とも話す。
ドワイヤー氏によると、より多くの組織がセキュリティコントロールやより良いアーキテクチャ、特権とアクセスを制限するゼロトラストモデルを通じてリスクを削減する方法を評価している。しかし一部の企業にとって、これらの目標を達成するために必要な投資の獲得は今もハードルとなっている。
古い同じ問題は代替案に勝る
サイバーセキュリティの専門家にとって、毎年同じような脅威を耳にして共有することは、ある意味では疲労につながるかもしれないが、攻撃を受けている組織にとっては別の選択肢よりも価値があるだろう。
企業は、サイバー攻撃者がそれらを悪用する前にハードウェアやソフトウェアの脆弱性を修正し、サプライチェーンを厳しく監視し、フィッシング攻撃の影響を制限できる。
「フィッシングは依然として企業が直面する脅威のトップに位置付けられる(注1)。私たちはどのくらいの期間、フィッシングについて話してきたのだろうか。誰かがフィッシング攻撃を受けたからといって必ずしも組織が壊滅するわけではない。その間に起こることは山ほどある。フィッシング攻撃を受けること、情報を悪用されることを前提として行動すべきだと私は考えている。それでも危機を防ぐための多くの機会がある」とドワイヤー氏は述べた。
暗号化が標準になり、普及するまでの長い道のりと同様に、防御の実践とインフラストラクチャの強化はトップダウンで企業に浸透していくかもしれない。「この問題を最初から理解していたのは資金に富む巨大な企業だけだった」とヴィシニェフスキ氏は言った。
(注1)Phishing, king of compromise, remains top initial access vector(Cybersecurity Dive)
関連記事
企業の「OSSただ乗り」はもう限界 Log4jの悪夢から何を学ぶか
Tideliftの調査によると、OSSの主要な製作者に対する報酬の格差が明らかになり、ソフトウェアのサプライチェーンを適切に保護する方法についての疑問が呈されている。
経営者とセキュリティ担当者が分かり合うためのフレームワークを知っているか?
ランサムウェア攻撃が高度化する今、全社一丸となってセキュリティ対策を講じるには、経営層から現場のセキュリティ担当者までが同じ言葉で語り合い、足並みをそろえる必要がある。これを実現するフレームワークを解説しよう。
リュウジ氏の一件から考える 本当にWordPressは脆弱なのか?
先日、料理研究家のリュウジ氏がWordPressの改ざんを受けた件について報告していました。筆者としては同氏の気持ちは分かるものの、どうもWordPressに関する誤解が広がっているようにも感じます。
FortiGate/FortiOSの最新アップデートが公開 RCEの脆弱性を修正か
FortinetはFortiGateおよびFortiOSの最新バージョンを公開した。新バージョンには発表前の重要な脆弱性の修正が含まれる可能性があり、ユーザーは可能な限り迅速なアップデートが推奨される。
© Industry Dive. All rights reserved.
注目のテーマ
人気記事ランキング
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
ITmediaはアイティメディア株式会社の登録商標です。